Izsiljevalska programska oprema Bash 2.0

Izsiljevalska programska oprema ostaja ena najbolj motečih groženj, s katerimi se soočajo posamezniki in organizacije. En sam uspešen vdor lahko pomeša vaše datoteke, ustavi poslovne operacije in izroči občutljive podatke na milost in nemilost izsiljevalcem. Proaktivna zaščita, večplastni varnostni nadzor, budnost uporabnikov in zanesljive varnostne kopije bodo vedno stali manj kot plačevanje kriminalcev (in še vedno ne dobite svojih podatkov nazaj). Izsiljevalska programska oprema Bash 2.0, znana tudi kot Bash Red, je pravočasen opomnik, da nove družine še naprej ponavljajo preizkušeno kodo za napade, hkrati pa izpopolnjujejo svoje taktike pritiska na žrtve.

SPOZNAJTE BASH 2.0 (BASH RDEČA)

Raziskovalci so Bash 2.0 odkrili med pregledovanjem novih dejavnosti zlonamerne programske opreme. Grožnja temelji na kodni bazi izsiljevalske programske opreme Chaos, ogrodja, ki je bilo ponovno uporabljeno v več spin-offih. Izkoriščanje Chaosa napadalcem daje prednost: šifriranje jedra, upravljanje datotek in rutine za zahtevo za odkupnino so že prisotne in jih je mogoče prilagoditi za nove kampanje. Bash 2.0 uporablja te podedovane zmogljivosti za zaklepanje podatkov in izsiljevanje plačil.

KAJ SE ZGODI Z VAŠIMI DATOTEKAMI

Ko se Bash 2.0 zažene v sistemu, poskuša šifrirati dostopne podatke. Vsaka prizadeta datoteka prejme dodatno končnico, sestavljeno iz štirih naključnih znakov, s čimer se nekaj takega, kot je »1.png«, spremeni v »1.png.2rf9« (naključna pripona se razlikuje glede na okužbo). Ta konvencija preimenovanja pomaga napadalcem (in avtomatiziranim orodjem) slediti, kaj je bilo zaklenjeno, hkrati pa žrtvam takoj sporoči, da njihovi podatki niso več uporabni. Izsiljevalska programska oprema spremeni tudi ozadje namizja, da vizualno okrepi izsiljevalsko sporočilo.

SPOROČILO O ODKUPNINI: BASHRED-README.TXT

Po končanem šifriranju Bash 2.0 pošlje besedilno sporočilo z imenom »bashred-reAdmE.txt«. Sporočilo žrtev obvesti, da so datoteke šifrirane, in trdi, da je edina izvedljiva pot do obnovitve pridobitev edinstvenega ključa za dešifriranje in programske opreme od napadalcev. Žrtve dobijo navodila, naj vzpostavijo stik in plačajo; sporočilo opozarja, da bi lahko preimenovanje, spreminjanje ali poskus neodvisnega dešifriranja zaklenjenih podatkov trajno poškodovalo te podatke. Sprememba ozadja običajno odraža iste teme, kar povečuje nujnost.

KAKO RESNIČNO JE OBNOVITEV PODATKOV?

V večini incidentov z izsiljevalsko programsko opremo je dešifriranje brez sodelovanja napadalcev tehnično neizvedljivo, ker je šifriranje zasnovano tako, da je kriptografsko močno. Le v redkih primerih, običajno ko avtorji zlonamerne programske opreme naredijo resne napake pri implementaciji, je dešifriranje mogoče brez njihovega posredovanja. Tudi plačilo ni zagotovilo: žrtve redno poročajo, da nikoli ne prejmejo delujočih orodij, da prejmejo delne dešifriratorje ali da naletijo na poškodovane ključe. Plačilo financira tudi nadaljnje kriminalne operacije, zaradi česar lahko postanete ponovna tarča. Zaradi teh razlogov varnostni strokovnjaki močno odsvetujejo izpolnjevanje zahtev po odkupnini.

USTAVITE KRVAVITEV: ODSTRANITEV IN ZDRŽEVANJE

Odstranitev virusa Bash 2.0 iz okuženega okolja je bistvenega pomena za preprečitev šifriranja dodatnih datotek in širjenja grožnje na povezane sisteme. Vendar pa čiščenje zlonamerne programske opreme ne dešifrira že zaklenjenih podatkov. Prava obnovitev je odvisna od varnih, brez povezave in neogroženih varnostnih kopij. Pred obnovitvijo izolirajte prizadete računalnike iz omrežja, izvedite popolno skeniranje za zlonamerno programsko opremo s posodobljenimi orodji in obnovite ali ponovno zgradite sistem, kjer zaupanja ni mogoče zagotoviti. Obnovljene sisteme ponovno priključite šele po preverjanju, da so čisti.

KAKO SE BASH 2.0 ŠIRI V DIVJINI

Napadalci mečejo široko mrežo. Med pogoste vektorje distribucije, povezane s kampanjami izsiljevalske programske opreme in relevantne za Bash 2.0, spadajo:

• Zlonamerne priloge ali povezave, poslane prek neželene pošte, lažnega predstavljanja ali platform za družbena sporočila.
• Paketni ali trojanski namestitveni programi, ki se izdajajo za legitimno programsko opremo, igre, medijske kodeke ali orodja za produktivnost.
• Prenosi, ki se izvajajo prek ogroženih ali zlonamernih spletnih mest, pogosto prek zlonamernega oglaševanja.
• Kanali za prenos tretjih oseb, brezplačna programska oprema in prenos med uporabniki s šibkimi kontrolami integritete.
• Nezakonite programske "razpoke", generatorji ključev in ponarejeni pripomočki za aktivacijo, ki tiho dostavljajo koristne tovore.
• Lažni pozivi k posodobitvam (brskalnik, vtičnik, operacijski sistem ali aplikacija), ki namesto popravkov nameščajo zlonamerno programsko opremo.

Nekatere različice groženj se lahko širijo lateralno ali samostojno, pri čemer poskušajo prečkati lokalna omrežja ali se kopirati na odstranljive medije, kot so USB-ključki in zunanji diski.

NAJBOLJŠE VARNOSTNE PRAKSE ZA OKREPITEV VAŠE OBRABNE ZAŠČITE

• Vzdržujte varnostne kopije z različicami, brez povezave in redno preizkušene. Vsaj en nabor varnostnih kopij shranite zunaj omrežja (po možnosti na nespremenljivo shrambo ali medij za enkratno pisanje).
• Operacijski sistemi, aplikacije, varnostni paketi in vdelana programska oprema naj bodo vedno posodobljeni. Kjer je to izvedljivo, omogočite samodejne posodobitve.
• Uvedite ugledne rešitve za zaščito pred zlonamerno programsko opremo/EDR z zaznavanjem vedenjske izsiljevalske programske opreme in možnostmi povrnitve prejšnjih podatkov.
• Za zmanjšanje tveganja lažnega predstavljanja uporabite filtriranje e-pošte, peskovnik za priloge in prehode za skeniranje povezav; uporabnike usposobite za prepoznavanje lažnih pošiljateljev in nepričakovanih prilog.

• Onemogočite ali omejite makre in aktivno vsebino v oblikah dokumentov; odprite neželene dokumente v zaščitenem pogledu.

• Delujte z uporabniškimi računi z najmanj privilegiji; skrbniške poverilnice rezervirajte za namenske, zaščitene seje.

• Segmentirajte omrežja in uveljavite nadzor dostopa, tako da ena sama ogrožena končna točka ne more doseči vseh kritičnih deljenih mest.

• Za oddaljeni dostop, privilegirana dejanja in varnostne konzole za skrbništvo zahtevajte večfaktorsko overjanje.

• Onemogočite samodejni zagon/predvajanje na izmenljivih medijih; pred nameščanjem v produkcijske sisteme pregledajte zunanje pogone.

ZAKLJUČNE MISLI

Izsiljevalska programska oprema Bash 2.0 ponazarja, kako hitro lahko akterji grožnje preusmerijo obstoječe kodne baze v nova orodja za izsiljevanje. Zagovorniki, ki se zanašajo izključno na zaznavanje na podlagi podpisov ali odziv v zadnjem trenutku, bodo ostali v slabšem položaju. Z združevanjem discipliniranih strategij varnostnega kopiranja, močne higiene popravkov, večplastne obrambe končnih točk in e-pošte, zasnove z najmanjšimi privilegiji in preizkušenih priročnikov za odzivanje drastično zmanjšate tako verjetnost kot vpliv dogodka izsiljevalske programske opreme.